睿眼 · 主机取证溯源系统
专注黑客活动检测
中睿天下 - 睿眼主机溯源取证.pdf
产品概述
作为业内专业的黑客活动痕迹取证系统,睿眼·主机取证溯源系统对黑客恶意活动进行更深度的检测,具备高精准的恶意软件(含病毒、木马及黑客工具)识别能力,可有效发现隐蔽性强、危害较大的高级持续性威胁(APT),同时通过自动化检测黑客入侵痕迹、分析黑客线索、还原黑客攻击手法等,让普通安全人员能够具备取证溯源专家水平。
核心功能
🙋♀️1. 全面检测入侵痕迹
检测范围全面,涵盖操作系统的各个方面,包括文件系统(包括webshell等)、注册表、内存进程、主机缺陷、系统项、定时任务、系统日志、应用日志、用户痕迹、网络流量、系统固件、系统内核等,同时通过多维检测模型和主线间上下文联动分析、威胁情报、事件溯源、快照比对技术,发现黑客在主机的恶意活动。
2. 检测发现高级持续性威胁(APT)
高级持续性威胁(APT)攻击具有高度目的性、隐蔽性、危害性、持续性等特点。
睿眼·主机针对APT攻击的特点和阶段,设计多重入侵痕迹模型,全面覆盖攻击矩阵涉及的策略和技术,全面采集各项指标数据与数千种攻击模型自动匹配,并结合威胁情报、关联分析、专家视角、黑客溯源、攻击链分析等技术,更深入地检测发现主机中潜藏的安全风险和高级威胁入侵痕迹。
3. 安全基线快照对比
睿眼·主机将采集到的数据汇总后统一分析,支持多主机对比分析及基于时间基线的单主机对比分析。
多主机对比分析:可快速定位稀有程序和目录,同时减少误报。
单主机对比分析:通过对同一台主机建立基线,多次采集数据并对比分析,可快速锁定异常数据,发现未知威胁。
4. 专家模式筛查线索
专家模式相当于对受检主机做系统运行时态快照,为后续主机威胁线索深入挖掘、快照对比提供基础,其中包含主机信息、文件系统、启动项、内存、网络、用户痕迹、事件日志、注册表、已安装软件、本地账户、时间轴事件、信息类规则等信息,且支持灵活搜索。
5. 关联分析追踪溯源
综合采集的各项数据,利用威胁情报、大数据分析、黑客指纹档案库、攻击链分析等技术手段,对黑客行为进行关联分析和深度解析。
同时溯源黑客入侵事件,以黑客视角将各个碎片化但具备关联性的攻击痕迹串联起来,按照时间维度还原攻击过程,并结合威胁情报对黑客背景进行追踪,溯源其身份。
6. 智能适配应用场景
智能识别主机应用场景,并根据主机资源利用情况、业务部署类型等,合理调整采集策略,同时智能分析主机文件分布、归纳总结主机文件、快速定位可疑文件,保障采集结果快速有效。
7. 自动生成溯源报告
数据采集上传后,睿眼·主机分析端自动分析并生成简单易懂的取证溯源报告,内容包括主机安全状态结论,文件系统、内存、启动项、注册表等检查信息,并支持报告导出。
对于存疑主机,用户可导出报告发送给取证溯源专家,远程获取更专业的技术支持。
优势特色
绿色运行免安装
睿眼·主机采集端主要用于搜集数据,体积小、免安装、绿色运行,不改变系统任何配置,同时资源占用低,且支持灵活控制资源占用,不影响系统性能,可事后即删、安全可靠,真正做到方便快捷、无痕采集,用户体验好。
发现潜藏威胁
相比常见的防病毒解决方案,睿眼·主机具有更强大的恶意软件识别能力,可精准识别病毒、木马、黑客工具等恶意软件,同时更专注攻击者活动的检测,发现主机中隐匿的APT攻击及未知威胁。
自动溯源分析
利用网络攻击溯源技术,全自动地将碎片化安全事件线还原成完整的攻击链,全面还原攻击事件及其背景,快速定位攻击源头并提供详细分析报告。通过自动化替代,普通安全人员也可具备专家分析水平,解决安全专家稀缺的问题。
快速应急响应
通过自动化溯源分析,将取证溯源时间缩短到小时级,同时支持多台主机批量采集与分析,对海量主机进行批量风险排查,帮助安全分析人员大幅提升主机应急响应效率,有效控制网络攻击事件扩散和影响范围。
远程专家服务
通过提供睿眼·主机导出的报告及采集端文件压缩包,用户可远程便捷地获取更专业的专家支持,对安全事件进行深度溯源分析,包括对攻击者身份、背景、活动过程、目的及影响等进行评估,适用于高级持续性威胁(APT)攻击事件应急后的溯源分析。
兼容性强场景多元
兼容市面上主流的windows操作系统和庞大的Linux系统分支、版本分支,可灵活适配多种安全场景,包括大型企业和监管部门日常对海量主机批量进行风险检查、抽查、巡检,安全专家基于攻击线索进行快速取证溯源,网络部门对新入网主机进行准入检查等。
应用场景
发现隐蔽性极强的APT攻击
关键词:APT、特种木马、高级威胁
主机是网络攻击的最终战场,也是检测发现APT攻击的重要方式。但APT攻击针对性、欺骗性、隐蔽性极强,常规手段难以检测。睿眼·主机检测全面深入,可发现系统中潜藏的安全风险和高级持续性威胁入侵痕迹。
日常主机威胁监管
关键词:临检、单机取证、批量检查
因缺乏有效的主机检查手段和统一管控手段,过去局限于定期抽查检查,难以做到快速、全面的威胁发现和处置。基于睿眼·主机一个检测中心多个采集节点的结构及灵活的交付形式,用户既可采用便携的工具箱模式进行临检或单机取证,也可对多台主机并发检测,实现大范围主机批量检查,从全局角度整体把控主机风险。
常态化主机安全监控
关键词:日常安全监测、入网安评、定期巡检、一键检测主机
定期巡检对保证整个信息系统安全运行至关重要。但人工定期巡检难度大、耗时长。使用睿眼·主机批量下发采集器采集主机数据,可实现一键检测,帮助安全运维人员快速、高效地完成对服务器的定期巡回检查,及时发现、处理异常,避免可能造成的重大事故或损失。
基于入侵线索进行应急响应
关键词:应急响应、事件溯源
流量分析等监测手段发现网络安全事件线索后,鉴于部分攻击行为无法在流量中体现,可利用睿眼·主机深入检查发现黑客入侵痕迹并进行取证溯源分析,同时通过对入侵原因、入侵路径等的了解,快速定位攻击源头并进行处置整改。